-
Glupteba usa la blockchain de bitcoin para actualizar su direcciรณn de servidor C2.
-
Glupteba obtiene la informaciรณn de las transacciones del llavero Electrum de bitcoin.
Ocho aรฑos despuรฉs de su primera distribuciรณn, el malware Glupteba utiliza la blockchain de Bitcoin para actualizar la direcciรณn de su servidor y mantener su peligrosidad. Asรญ lo informรณ un equipo de investigadores que analizรณ un ataque malicioso que distribuรญa este virus.
Segรบn una publicaciรณn de Trend Micro realizada este cuatro de septiembre, la distribuciรณn del malware se realiza mediante publicidad maliciosa. Se identificรณ que el malware utiliza el exploit EternalBlue, el mismo usado por virus como WannaMine, para moverse a redes locales y, como el anterior, ejecutar mineros de criptomonedas como Monero (XMR).
MalwareBytes definiรณ a Glupteba como un troyano de puerta trasera, que permite a los ciberdelincuentes realizar acciones en el sistema afectado, en este caso, Windows. Un troyano es un programa que afirma realizar una acciรณn, pero en realidad ejecuta otra, que es generalmente maliciosa e incluye el robo de informaciรณn o el control del dispositivo.
Los investigadores de Trend Micro determinaron que la descarga de Glupteba incluye un ladrรณn de datos confidenciales que ataca el navegador para obtener informaciรณn que es enviada a un servidor remoto; asรญ como un explorador de enrutadores. Este รบltimo es un recurso del malware Glupteba para utilizar la informaciรณn de transacciones de Bitcoin y actualizar su servidor de Mando y Control (C2), recurso que sirve para controlar y difundir el malware hacia otros servidores.
El explorador ataca a los enrutadores MikroTik en la red local con una vulnerabilidad especรญfica. Luego, programa una tarea en el enrutador para C2 y carga las credenciales de administrador que han sido robadas en un servidor remoto.
El malware aprovecha la transparencia de la blockchain de Bitcoin, que permite a cualquiera consultar las transacciones realizadas. Gracias a la funciรณn discoverDomain, y el uso de la informaciรณn de transacciones de Bitcoin, el malware Glupteba enumera los servidores del llavero Electrum (llavero que ha sido objeto de mรบltiples ataques por los ciberdelincuentes) y obtiene la informaciรณn de los servidores.
Para lograrlo, consulta el historial de hash del script con un hash codificado. De la lista de transacciones obtenidas, busca aquellas que contengan la instrucciรณn OP_RETURN (un mรฉtodo para almacenar datos en la blockchain, marcando una transacciรณn saliente como invรกlida) y proporciona datos cifrados mediante AES que contienen sus direcciones de dominio C2.
El malware Glupteba formรณ parte de la Operaciรณn Windigo, pero en 2018 parece haberse independizado de este grupo y ahora hace uso de la blockchain de Bitcoin. La Operaciรณn Windigo fue un conjunto de programas maliciosos distribuidos por un mismo actor, destinados al robo de credenciales mediante la infecciรณn de equipos y servidores. Como parte de la Operaciรณn Windigo, Glupteba se distribuyรณ a travรฉs de kits de exploits a los usuarios de Windows.
Trend Micro incluyรณ entre las recomendaciones para evitar este tipo de infecciรณn un enfoque de seguridad de varias capas, que cubra la puerta de enlace, los puntos finales, las redes y los servidores. Herramientas que puedan detectar archivos y URL maliciosas fueron las mencionadas por el equipo para proteger los sistemas. Calificรกndolo como un troyano de alto riesgo, ya que puede ser usado como puerta trasera para la distribuciรณn de Ransomware, HowtoRemove. Guide publicรณ una serie de instrucciones para eliminar este programa malicioso del equipo.